前言:
受刺激,决心细心研究网络安全。之前研究的很是粗犷,符合东北人的性格,但不符合技术人的风格。所以以此博文来叙,鞭策自己同时,愿与大家共享。但是因为本人技术能力的限制,很多认识非常的幼稚,希望大家不同看法或者我认知错误的地方,狠狠的批评指正!多谢!
一、网络安全认识
谈到对网络安全的认识,网络安全的涵盖面非常之广泛,几乎有信息化的地方就有网络安全。但是概而言之,分为技术层面和管理层面。
管理层面,包括安全风险的识别、风险的控制。至于怎样识别,怎样控制,那么就到达了技术层面。
技术层面,包括物理环境安全,网络的架构安全,系统安全,数据安全,应用安全。
以上是我对网络安全的简单认识。
二、网络安全技术
因为本人不才,没有管理的资质和经验,虽然对安全管理有一些看法,但是暂时(是暂时)不做探讨。暂时(是暂时)仅讨论网络安全技术。
网络安全技术刚才已经写到,包括物理环境的安全,包括网络安全架构,包括系统安全架构,包括数据安全,包括应用安全。下面分别谈论一下。
(一)、网络安全架构
1、防火墙:这个非常熟悉的设备或者名词,几乎已经成为网络安全的代名词。谈到网络安全,第一个想到的就是防火墙。但是防火墙不是万能的,没有防火墙是万万不能的。它能干什么?或者它主要是干什么的?答曰:访问控制!!!其他的功能都是其次的。它的核心是什么?安全策略。根据防火墙技术的分类,可以分为包过滤(基本过时)、状态检测(当红!)、应用代理(明日之星)防火墙。至于分类,到底什么是包过滤,什么是状态检测,什么是应用代理,我就不说了,也不说他们的区别,可以到www.google.com.hk进行查询。
2、IDS/IPS: 入侵检测/入侵防御系统。IPS就是比IDS多了个防御的功能,IDS就好像是电子狗,只能报警,但是不能咬人。而IPS是大狼狗,不仅能嗷嗷叫,而且还能咬人!而且部署模式不同,IDS,一般都是旁路部署,将mirror的数据包进行检查,报警而已。而IPS要block或者drop数据包,所以它要串接到网络当中。也就是电子狗放到门旁边就行,有红外遥感。而让狗咬人,必须要拴在门中间,要么吓死你,要么咬死你。不敢说玩过几款IPS,我始终感觉“玩”这词不好,显得不够对技术的尊重,人家都费死劲的研究,你玩,显得你多聪明?那么轻松就搞定?也不敢说仔细研究过,仔细研究就研究到这种程度?太笨了!就是学习过几款IPS,都是国外的。原理都是一样的,但是偏重点不一样,基本都是根据攻击数据包的特征码进行匹配,来判断是否是恶意的数据包。或者根据一种行为进行分析,来判断是否是恶意的攻击行为。进而来采取动作是否进行阻断或者丢弃数据包,来达到防护的效果。现在要主要考验设备特征码的来源和数量,以及设备的性能。
3、二层/三层(路由交换)安全:虽然路由交换我们一般不会把它们定义为安全设备,但是对它们进行良好的安全部署,启用一些适合的安全功能,是非常重要的。接入交换机部分,现在一般比较流行的是根据802.1x等协议进行准入控制。来保证客户端的安全管理。比较落后的做法是做MAC+端口绑定。再有就是对一些互联接口定义广播包比例、启用STP、DHCP snooping、等等来做到一定的安全防护作用。在三层设备上面,一般要做必要的access-list来做些简单的访问控制,在核心骨干设备上就不要写太多了,这个是要降低转发性能做代价的。另外在传输过程中,如果在非信任网络中传输,要采用×××技术进行数据加密传输。运行动态路由协议时注意设备之间认证,采取必要的NAT来隐藏真实IP等等在某些环境中都是增强安全性的办法。
4、无线网络安全:现在无线网络应用越来越广泛,无线网络安全方面主要是安全加密方式,当前比较主流的加密方式有WEP、WAP,还有采用准入控制。无论怎样,就是防止未被授权的客户端非法接入无线网络来做坏事。
(二)、系统安全
1、windows系统安全:windows server系统都比较熟悉,因为熟悉,所以不安全!呵呵。系统的漏洞比较多,总是提示系统更新各种漏洞补丁,很让人崩溃。 账户权限的控制(admin)权限、记得要给系统安装防病毒软件,以及打开系统防火墙。文件共享的安全,经常习惯用\\aa.bb.cc.dd\d$共享的要注意了。很多的非必须的服务端口都建议关闭。IIS以及注册表的安全,注册表最好要能够备份出来一个。日志的审计等等,这些都涉及到windows 的系统安全。
2、linux、
